Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och e-underskrift, deras realisering på Inera - YouTube

Dokument som beskriver referensarkitekturerna:

• Referensarkitektur för Identitet och åtkomsthantering - på denna länk hittar du dokumentet som beskriver: Referensarkitekturen för Identitet och åtkomsthantering

• Referensarkitekturen för Elektronisk underskrift och stämpel - Referensarkitekturen för Elektronisk underskrift och stämpel

Net iD används för att importera certifikat från SITHS-kortet till den certifikatshanterare som finns på datorn. Tjänsten, som användaren ska logga in i, integrerar i sin tur via webbläsaren mot operativsystemets inbyggda funktioner för att be användaren presentera ett inloggningsceritfikat.

Exakt hur detta utförs rent praktiskt och hur användareupplevelsen blir varierar med vilken typ och version av:

• tjänstens servermjukvara

• användarens operativsystem

• användarens webbläsare (för webbaserade tjänster)

• eventuell övrig användarapplikation

Förutsättningar

• Användaren behöver ha en så ny version av Net iD som möjligt - Programvaror och tillbehör för SITHS

• Både servern som driftar tjänsten och ofta användarens klientdator måste ha:

  • Tillit till rätt Certifikatsutfärdare inom SITHS - Rot- och utfärdarcertifikat

  • Brandväggsöppningar för spärrkontroll och byggande av tillitskedja - Sökvägar och brandväggsöppningar - Certifikatsutfärdare

Net iD plugin stöds i dagsläget endast på Internet Explorer 11 förutsatt att användarens klientdator tillåter att det körs

Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort alternativt begränsat stödet för de API:er, NPAPI (Chrome/Firefox) och ActiveX (Internet Explorer), som använts av tredjepartsmjukvaror som Net iD plugin.

Numer kan Net iD plugin endast användas via Active X i webbläsaren Internet Explorer 11. Detta förutsätter också att användarens klientdator tillåter körning av ActiveX plugins (disabled by default) och att just SecMakers plugin för Net iD tillåts (default deny). Detta kan styras med hjälp av AD-kontrollerade Grupp principer (GPO).

För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD.

Vid underskrift via Net iD plugin används en annan kod, Underskriftskoden.

Underskrift med Net iD är beroende av Net iD plugin och lösningen skiljer sig för varje implementation.

Ineras nya Underskriftstjänst följer specifikationer från Digitaliseringsmyndigheten (DIGG), läs mer här: Underskriftstjänsten

Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort stöd för det API:er som använts av tredjepartsmjukvara som Net iD plugin. Numer kan detta endast realiseras via Internet Explorer 11 och Active X.

För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD.

Två stora skillnader när det kommer till underskrifter med hjälp av Net iD plugin och

Vid användning av SITHS med Net iD finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran.

Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering där man istället åstadkommer samma samma Single Sign-On upplevelse för alla tjänster med hjälp av stödet i standarderna SAMLv2 och OIDC.

Om användaren har ett användarnamn (domäninloggningsnamn) angivet i HSA när certifikatet eller kortet beställs inkluderas det i certifikatet som ett “User Principal Name”. Certifikatet får då också övriga egenskaper som behövs för att fungera för interaktiv inloggning till Windows

Därefter kan man följa instruktioner från Microsoft för hur man implementerar stöd för inloggning till Microsoft AD med certifikat från en tredjepartsutfärdare (SITHS), se Guidlines for enabling smart card logon with third-party certification authorities

I dagsläget används klientprogramvaran Net iD Enterprise för att ge stöd för interaktiv inloggning till Windows tillsammans med SITHS e-legitimation på SITHS-kort.

Net iD

Net iD Enterprise importerar certifikaten från SITHS-kortet till Windows egen certifikatslagring. Detta följer samma logik som Mutual TLS för legitimering med SITHS och Net iD

Beroende på vilken paktering av Net iD som används kan man också skräddarsy användarupplevelsen vid inloggning till AD med egen grafik på inloggningsskärmen.

Det finns också pakteringar av Net iD som använder Windows egna funktioner, men som bara tillför stöd för SITHS-korten, Net iD installeras då som en så kallad minidriver som används under Microsofts egen BaseCSP

Utredning pågår, vi kommer att komplettera med referensmaterial